Давно не писал ничего на тему PenTest, а тут вдруг кейс интересный попался. Честно говоря, я и сам не понял как так получилось, в конце напишу свои соображения. Предлагаю проверить этот кейс владельцам сетей с развёрнутой антивирусной защитой от Kaspersky Security Center.
Суть прикола
Товарищ попросил проверить безопасность его конторы. Всё прекрасно, всё пропатчено, антивирусная защита развёрнута на всех узлах. Ну не подступиться. Кое-как разжились сперва локальной учёткой, потом повысили себе права и создали временную админскую локальную учётку. Время брать домен, но …
И вот, собственно, результат выполнения команды
# crackmapexec smb 192.168.1.x -u 'login админа' -p 'пароль админа' --local-auth --lsa
выдал в конце несколько учёток с plaintext-паролями. Беглый гугл пояснил, что это сервисная учётка Kaspersky. Но неужели пароль в открытом виде?
Качаю клиент консоли с официального сайта, ввожу эти учётные данные и вуаля:
Ну первым делом конечно отключить защиту на сервере, который удалось пробить с локальным администратором:
После уже использовать модуль mimikatz:
# crackmapexec smb 192.168.1.x -u 'login админа' -p 'пароль админа' --local-auth -M mimikatz
и получить закешированый пароль доменного администратора. Бинго!
Выводы
- Если честно, я не понимаю до сих пор, каким образом в lsa попал открытый пароль консоли KSC. Провёл некоторые эксперименты. Пароль падает даже до первого входа администратора – сразу после установки. Захват антивирусного сервера открывает богатые возможности как для продвижения по горизонтали, так и для повышения привилегий на конкретной станции. Напомню, KSC позволяет создавать инсталляционные пакеты и устанавливать их на произвольные узлы, с установленным агентом.
- Как от этого защититься? Понятия не имею. Единственный вариант – использовать устойчивые к перебору локальные и доменные пароли, так как для парсинга LSA требуются права администратора как минимум.
Добрый день.
Подскажите, находился ли скомпрометированный сервер под управлением Windows Server 2012 и ниже или с включенным wdigest?
Спасибо.
Ответ – да. Но на самом деле не принципиально. Crackmapexec позволяет включить провайдер wdigest при помощи –wdigest enable